De Amerikaanse autoriteiten waarschuwen voor advertentiefraude-botnets van 3ve

Vandaag publiceerde US-CERT samen met de FBI en de Department of Homeland Security een beveiligingsbulletin over 3ve, een grote criminele organisatie die zich schuldig maakt aan advertentiefraude. Deze cybercriminelen gebruikten malware om internetverkeer, van zo’n 1,7 miljoen IP-adressen, door te leiden naar hun eigen advertenties en hun kas te spekken met de resulterende advertentieomzet.

3ve maakt gebruik van twee verschillende botnets. Het Boaxxe-botnet lijft apparaten in die besmet zijn door kwaadaardige bijlagen en drive-by downloads. Het wordt gebruikt als proxy voor frauduleuze advertentieverzoeken die verzonden worden  vanuit een datacenter in Duitsland dat de aanvallers in handen hebben.

Het Kovter-botnet, dat eveneens wordt gevoed door besmettingen met drive-by-downloads en kwaadaardige e-mailbijlagen, maakt gebruik van een browser op geïnfecteerde computers die uit het zicht van de gebruiker verborgen is. De aanvallers gebruiken hun command & control (C&C)-infrastructuur om internetverkeer vanuit de verborgen browser  om te leiden naar hun advertenties. Tynninen, een onderzoeker van F-Secure, bestudeerde de malware-campagnes van 3ve en deelde haar bevindingen met een groep van wetshandhavers en IT-organisaties die de botnets ontmantelde tijdens een wereldwijde operatie. Volgens Paivi zijn de aanvallen van 3ve typerend voor moderne cybercriminelen.

“3ve verzendt spamberichten waardoor het lijkt alsof de gebruiker een e-mail verzonden heeft dat niet aangekomen is. Momenteel is dit  een veel voorkomende aanvalstechniek. Als de ontvanger een bijlage bij het bericht of het klikken opent, wordt deze besmet raakt met de Kovter- of Boaxxe-malware, of beiden”, zegt Paivi. “Daarnaast maakt 3ve gebruik van malvertising om gebruikers om te leiden naar valse software-updates en haalt hen ertoe over om Kovter te installeren. Dit is tegenwoordig een tamelijk populaire social engineering-tactiek.”

Volgens Paivi heeft 3ve kortstondig geprobeerd om gebruik te maken van exploit kits, maar daar boekte het  net als veel andere cybercriminelen, weinig succes mee.

“Het gebruik van exploit kits vertoont al jarenlang een dalende lijn. 3ve en soortgelijke cybercriminelen maken tegenwoordig steeds meer gebruik van spam. Dat is namelijk veel effectiever.”, zegt Paivi.

Advertentiefraude bezorgt eindgebruikers waarschijnlijk niet dezelfde  rillingen als ransomware en andere bedreigingen. Toch komt dit vaak voor. Voor cybercriminelen is het zelfs een belangrijke bron van inkomsten. Volgens een onderzoek uit 2016 zal de omzet uit advertentiefraude in 2025 een niveau van 150 miljard dollar bereikt hebben.

In tegenstelling tot ransomware, slagen cybercriminelen er met advertentiefraude vaak in om onder de radar te blijven. Zo blijven ze onopgemerkt terwijl het geld binnenstroomt.

Eindgebruikers moeten zichzelf niet wijsmaken dat 3ve niet hun probleem is. Volgens Paivi wordt bij de spamcampagnes die zij vaak volgt , aanvullende malware aan e-mailberichten toegevoegd.

“We hebben spamcampagnes gezien die de Kovter- en Boaxxe-malware combineerden met ransomware, banking trojans en infostealers. Het komt regelmatig voor dat spammers zichzelf meerdere opties toekennen om hun doelwit te besmetten”, aldus Paivi. “Zodra een apparaat bij een botnet  ingelijfd is, zet het de deur open voor nieuwe aanvallen. Elke vorm van indringing of schending is een risico dat gebruikers moeten voorkomen.”

Er is ook goed nieuws: gebruikers kunnen ervoor zorgen dat 3ve geen vat meer op hen krijgt door alle sporen van de malware van hun systemen te verwijderen en toekomstige infecties te voorkomen, door het hanteren van dezelfde best practices die hen tegen de meeste cyberbedreigingen beschermen.

• Maak gebruik van betrouwbare beveiligingssoftware die uitgebreide bescherming biedt voor al je apparatuur.
• Maak je nog geen gebruik van beveiligingssoftware en maak je je zorgen over malware-infecties? Controleer je apparatuur dan op infecties met de F-Secure Online Scanner. Deze gratis oplossing wordt door US-CERT aangemerkt als een effectieve tool voor het opsporen en elimineren van malware. Vraag je vrienden, familie en kennissen om hetzelfde te doen om hun steentje bij te dragen in de strijd tegen
• Wees voorzichtig met het klikken op links of openen van bijlagen in/bij e-mailberichten. Spam is en blijft een groot probleem. Vaak wordt het gebruikt om malware te verspreiden (zie onze blog post met tips voor het spotten van phishing-mails).
• Maak gebruik van sterke, unieke wachtwoorden. Dit maakt het moeilijker voor hackers om je online accounts te hacken.
• Werk je besturingssysteem en al je applicaties voortdurend bij met de laatste beveiligingsupdates.